Jókora pofont ad a biztonságnak a dolgok internete

Az IoT egyre inkább leteszi a névjegyét a vállalati biztonság terén is. Az már most látszik, hogy nem lesz könnyű megzabolázni a dolgok internetét.
 

Az IoT (Internet of Things) vagy más néven a dolgok internete megállíthatatlanul terjed. Az interneteléréssel rendelkező legkülönfélébb eszközök a felhasználók körében hódítanak, és egyre inkább a munkahelyekre is beteszik a lábukat. Ez pedig ahhoz vezet, hogy az informatikai és a biztonsági csoportoknak is fel kell készülniük az új jelenségre. Az okostelefonokkal, tabletekkel együtt megjelenő BYOD (Bring Your Own Device) trendek már bizonyították, hogy nem éri meg a végsőkig kivárni az új fenyegetettségek kezelésével. Azonban az IoT több problémát vet fel, mint a BYOD, már csak az eszközök széles köre és a korántsem mindig biztonságcentrikus fejlesztések miatt is.

Az OpenDNS csapata annak járt utána, hogy az IoT biztonsági szempontból mekkora kockázatot jelent napjainkban, és hogy minderre mennyire készültek fel a vállalatok. A kutatók legnagyobb meglepetése az volt, hogy már manapság is nagyon széles körben elterjedt az IoT a vállalati és az intézményi infrastruktúrákban. 

"A kezdeti feltételezésünk az volt, hogy majd találkozunk néhány IoT eszközzel a piaci szereplőknél, de végül meglepődtünk, hogy néhány szektorban milyen mennyiségű IoT-adatforgalom generálódik" - nyilatkozta Mark Nunnikhoven, az OpenDNS Security Labs szakembere.

Az OpenDNS az elmúlt három hónap során 70 milliárd hálózati kérést vizsgált, amelyek összesen 50 millió felhasználótól származtak a világ minden pontjáról. Az elemzések eredményeként megállapíthatóvá vált, hogy eddig az IoT a legnagyobb mértékben a felsőoktatásban, a menedzselt szolgáltatásokat biztosító vállalatoknál és az egészségügyben vetette meg a lábát. Az oktatásban elsősorban a fiatalok újdonságokra való fogékonysága, a menedzselt szolgáltatások esetében az ügyfelekhez kihelyezett eszközök és a távoli menedzsment, illetve monitorozó rendszerek, míg az egészségügyben a korszerű diagnosztikai eszközök járulnak hozzá leginkább az IoT térhódításához.

Mi történik a biztonsággal?

Miközben az internetképes eszközök felütik a fejüket a munkahelyeken, aközben a kockázatok kezelése sok esetben háttérbe szorul. Az OpenDNS szerint ennek komoly következményei lehetnek, hiszen számos újabb fenyegetettség ellen kell vagy kellene kialakítani a megfelelő védelmi intézkedéseket. Így például a kockázatok között kell említeni a nem felügyelt készülékek veszélyét, a jogosulatlan távoli hozzáférés lehetőségét, az adatszivárgási csatornák számának növekedését, az átláthatóság csorbulását, valamint a biztonsági szabályok betartatásának nehézségeit. Ami pedig talán a legfontosabb, hogy a BYOD trendek után az IoT is ad egy pofont a határvédelemnek, mivel a sok kütyü még inkább elmossa a vállalati és a nyilvános hálózatok határait.

Ellentmondásos felkészülés

Az OpenDNS egy további felmérést is készített, melynek során 500 informatikai és biztonsági szakembert, valamint 500 felhasználót kérdezett meg az IoT kapcsán. Az előbbi csoport 75 százaléka úgy nyilatkozott, hogy a cégénél már vannak olyan szabályok, amelyek az alkalmazottak által birtokolt, interneteléréssel rendelkező eszközök használatára vonatkoznak. Ezzel szemben a másik csoport 65 százalékának nincs tudomása arról, hogy a munkahelyén lenne bármiféle IoT-házirend. Vagyis igencsak ellentmondásos kép alakult ki az IoT szabályozásáról. Egy azonban biztos: ha a felhasználók nem tudják, hogy mit szabad és mit nem, akkor abból sok jó nem fog kisülni.

Az OpenDNS ugyanakkor azt is elismerte, hogy a szabályozás nem könnyű feladat, hiszen vannak olyan eszközök, amik nem jelentenek különösebb kockázatot a szervezetek IT-infrastruktúráira, míg vannak olyanok, amikkel igenis komolyan kell foglalkozni. Az előbbi esetben említhetjük például a fitneszhez, edzésekhez használt kütyüket, míg az utóbbiak közé egyebek mellett azon eszközök sorolhatók, amik képesek a felhős tárhelyekkel való együttműködésre. 

Ez jó kérdés…

Az OpenDNS összegyűjtött néhány kérdést, amiket érdemes feltenni mielőtt az IoT szabályozására sor kerül:
- Ki felel az adatok tárolásáért, kezeléséért és védelméért?
- Milyen adatokat kell küldeni, tárolni és mennyi időn keresztül kell megőrizni azokat?
- Milyen adatforgalmi mintákat lehet kimutatni az IoT eszközök és platformok kapcsán?
- Milyen gyakran kell frissíteni az IoT-eszközöket, és ezeket a teendőket kinek kell elvégeznie?
- Hogyan történik a felhasználók értesítése egy esetleges frissítés előtt?
- Milyen életciklussal kell számolni az alkalmazott IoT-eszközök és platformok esetében?